Datenportabilität – Recht auf Datenübertragbarkeit

Datenportabilität in der Praxis

Policy Paper – Rundtischgespräche und Handlungsempfehlungen

Das Recht auf Datenportabilität war das einzig komplett neue Betroffenenrecht der DSGVO. Wie steht es eineinhalb Jahre später um dessen praktische Anwendung? Die Stiftung Datenschutz, die das Thema seit 2017 intensiv verfolgt, lud im Herbst 2019 Akteure aus Politik, Aufsichtsbehörden, Wirtschaft, Wissenschaft und Gesellschaft zu mehreren Rundtischgesprächen ein, um ihre Erfahrungen zu teilen und um den aktuellen Stand zu diskutieren. Berücksichtigt wurden dabei auch der im Rahmen des Data Transfer Project entwickelte Portabilitätsstandard, Facebooks White Paper zur Datenportabilität und die Grundlagenstudie der Stiftung Datenschutz.

Die Ergebnisse der Gesprächsrunden liegen nun in zusammengefasster Form einschließlich der abgeleiteten Handlungsempfehlungen vor.

Download English Version and for further information visit our English project page.

Download Deutsche Fassung

Das Recht auf Datenübertragbarkeit

Mit Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018 bekam erstmals jede Person das „Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“.

Der Artikel 20 kann es für Bürgerinnen und Bürger deutlich vereinfachen, ihre bei dem einen Anbieter gespeicherten Daten zu einem anderen Anbieter zu übertragen. Für die Anbieter von datenverarbeitenden Diensten ist es erforderlich, personenbezogene Daten so vorzuhalten, dass diese in einem gängigen Format "mitgenommen" werden können.  

Bislang kommt es noch regelmäßig zu sogenannten "Lock-In"-Effekten: Wenn der Wechsel zu einem anderen Anbieter für Kunden mit erheblichen Kosten oder Behinderungen verbunden ist, verzichten sie oftmals ganz auf den Wechsel, auch wenn ein anderer Anbieter günstigere Konditionen bietet. Mit dem neuen datenschutzrechtlichen Instrument zur Portabilität sollen nun die betroffenen Personen bessere Kontrolle über ihre Daten erhalten. Das neue Recht könnte sich damit auf die Marktsituation auswirken.

Wie dies theoretisch plausible Übertragbarkeit in der Praxis funktionieren wird, ist noch nicht erforscht, denn eine vergleichbare Vorgängerregelung gibt es nicht, und auch keine richterliche Rechtsfortbildung.

Erklärfilm zur Datenportabilität

Das Projekt und die Ergebnisse

Die Stiftung Datenschutz erörterte in einem Projekt mögliche Wege zur praktischen Umsetzung des Rechts auf Datenübertragbarkeit. Ziel des Projekts war es, praxisrelevante Vorschläge für die Ausgestaltung der Datenübertragbarkeit zu entwickeln; zu klären, wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen ist, auf welche Weise der Transfer eines Datensatzes von einem zum anderen Anbieter erfolgen kann und welche Maßnahmen von den betroffenen Unternehmen für die Umsetzung des Rechts ergriffen werden sollten.

Die Autoren kommen zu dem Schluss, dass den mutmaßlich positiven Auswirkungen der Pflicht zur Übertragbarkeit von Daten durchaus Risiken gegenüberstehen können. Der Gesetzgeber hat gegenüber dem bisherigen Dateninhaber keinen automatischen Anspruch auf Löschung der zu übertragenden Daten vorgesehen. Daher befürchten die Experten, dass die mit der Übertragung der Daten meist einhergehende Vervielfältigung das Schutzniveau der Bürger senken kann und dem Gedanken der Datensparsamkeit zuwiderlaufe.

Da großen Datenunternehmen wie Google oder Facebook kaum geeignete Konkurrenten gegenüberstehen, könne laut Ansicht der Autoren zudem die ursprüngliche Idee der Verordnung leerlaufen, den Wechsel der Anbieter zu erleichtern und Monopole im Digitalmarkt aufzubrechen. Demgegenüber warten gerade auf kleinere und mittlere Unternehmen große Herausforderungen. Die Studie zeigt, welche Unterstützung die Wirtschaft bei der Auslegung des neuen EU-Rechts noch benötigt. Beispielsweise sei die Frage, welche Daten von Übertragbarkeit und Übertragung umfasst sein müssen, noch offen. Das schaffe rechtliche Risiken für die Wirtschaft und erhöhten Aufwand.

Lesen Sie hier mehr über die Ergebnisse in der Kurzversion der Studie

Darüber hinaus bot die Stiftung Datenschutz im Rahmen von Veranstaltungen und Veröffentlichungen allen Anspruchsgruppen – Aufsichtsbehörden, datenverarbeitende Wirtschaft, Zivilgesellschaft – die Möglichkeit, in eine sachliche Debatte zur möglichen Rechtsanwendung einzutreten.

UPDATE 09/2018

Bislang ist die Nachfrage nach der bequemen Wechselmöglichkeit allerdings gering. Das bestätigen auch Recherchen: Seit verbindlicher Anwendung der DSGVO im Mai 2018 gab es beim Spotify-Mitbewerber Deezer mit ungefähr 14 Millionen Nutzeraccounts nur knapp über 500 Anfragen in Bezug auf Daten- und Account-Management. Was sind also Hemmnisse der Datenportabilität?

Lesen Sie mehr über die aktuellen Entwicklungen in unserem Politikbrief August 2018.

Gegenstände der Datenübertragbarkeit

Durch den Artikel 20 der Datenschutzgrundverordnung soll die Übertragbarkeit der Daten zwischen verschiedenen Anbietern ermöglicht und so die informationelle Selbstbestimmung des Nutzers gestärkt werden. Teil des Projekts war es zu untersuchen, ob der Nutzer mehr Kontrolle über seine Daten bekommt, denn im Gesetzestext ist kein automatisierter auf Datenlöschung vorgesehen. Dies könnte dazu führen, dass Daten an mehreren Stellen gespeichert werden.

  • Wie eng oder weit ist das Merkmal des Bereitstellens von Daten zu verstehen?
  • Ist die Regelung in der Praxis dazu tauglich, ein Mehr an informationellen Selbstbestimmung zu schaffen?
  • In welchem Verhältnis steht die Datenportabilität zu Interoperabilität zwischen verschiedenen Systemen?

Betroffene Branchen

Beim Recht auf Datenübertragbarkeit hatte der Verordnungsgeber vor allem soziale Netzwerke wie Facebook vor Augen. Der Anwendungsbereich des Rechts ist jedoch keinesfalls auf solche Geschäftsmodelle begrenzt. Grundsätzlich betrifft das Recht auf Datenübertragbarkeit alle Branchen.

Für die wirtschaftliche Betrachtung ergaben sich folgende Fragen:

  • Welche Branchen sind überhaupt von Lock-In-Effekten betroffen?
  • Wie wollen diejenigen Branchen Art. 20 DSGVO umsetzen, die nicht von „Lock-In“-Effekten betroffen sind?
  • Welche bereichsspezifischen Herausforderungen ergeben sich für die einzelnen Geschäftsmodelle?
  • Welche Investitionen sind erforderlich?

Praktische Umsetzbarkeit

Eine der wesentlichen Herausforderungen bei der Umsetzung der Datenübertragbarkeit besteht in ihrer technischen Realisierbarkeit. Die Art. 29-Datenschutzgruppe der EU-Kommission stellte zwar klar, dass die Daten in einem "strukturierten, gängigen und maschinenlesbaren" Format zur Verfügung gestellt werden müssen. Wie ein solches Format auszusehen hat und auf welche Standards dabei zurückgegriffen werden soll, ist allerdings offen geblieben.

Unsere Studie beantwortet folgende Fragen:

  • Was könnte in der Praxis als „gängiges interoperables Format“ gelten?
  • Wie kann die Kompatibilität zwischen verschiedenen Formaten hergestellt werden?
  • Welche konkreten Anforderungen sollen an ein kompatibles Format gestellt werden?
  • Welche Standards sollen bei der Format-Entwicklung herangezogen werden und an wen soll deren Festlegung übertragen werden? 

Downloads

Hintergrund

Egal ob als Kunde, Nutzer, Teilnehmer, Antragsteller oder Patient – die Bürgerinnen und Bürger geben tagtäglich und fortlaufend Daten an ihre unterschiedlichen Gegenüber und Geschäftspartner. Die Gesamtmenge der Kundendaten wächst und wird zugleich immer mehr ausdifferenziert. So schaut ein Paketdienstleister anders auf den Kunden als ein Call Center, dieses wiederum anders als ein Internetprovider, ein Energieversorger oder ein Autovermieter – ganz zu schweigen von einem sozialen Netzwerk. Hinzu kommt ein weiterer wichtiger Aspekt: Fast alle Dienstleister oder Organisationen ergänzen und vervollständigen Kundendaten mit weiteren Daten, die sich meist auf ihre konkrete Dienstleistung beziehen. Ein Netzbetreiber, Fulfillment-Dienstleister oder Versender baut einen Kunden schon beim ersten ernsthaften Kontakt planerisch in seine Abläufe ein und überprüft Ressourcen, Verfügbarkeiten, Aufwände, mögliche Kosten, Ertragspotential und vieles andere.

Entscheidend für eine zielgerichtete Befriedigung des Bedürfnisses nach Übertragbarkeit von Kundendaten ist eine klare Definition und Abgrenzung der Aufgabe. Der informationstechnische Auftrag zur Auslesung aus den Datenbanksystemen der datenverarbeitenden Stelle muss eindeutig formuliert werden und algorithmisch abbildbar sein. Dies gilt ebenso für einen ggf. gleichzeitig erhobenen Anspruch des Kunden auf Datenlöschung. Mit einer Standardisierung von Abläufen und Formaten und einer festen Implementierung in Datenschutzmanagementsysteme können beide Ziele erreicht werden: Ein verbraucherfreundliches Funktionieren des neuen Übertragbarkeitsrechts und zugleich unternehmensseitige Rechtssicherheit und Gesetzeskonformität. Eine für beide Seiten – Kunde/Nutzer/Datenbürger einerseits, Dienstleister/Plattformbetreiber andererseits – eindeutige, handhabbare und berechenbare Verfahrensregelung erscheint als die beste „Rechtsschutzversicherung“.

Beim Recht auf Datenübertragbarkeit hatte der Verordnungsgeber vor allem soziale Netzwerke und große digitale Plattformen (Facebook, Google+ etc.) vor Augen. Der Anwendungsbereich des Rechts ist jedoch nicht auf solche Strukturen begrenzt, sondern umfasst sämtliche Branchen und Geschäftsmodelle. Die Realisierung des Instruments der Datenübertragbarkeit bringt daher auch etliche bereichsspezifische Herausforderungen mit sich. Laut Art. 20 Abs. 2 DSGVO hat eine Person das Recht „zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.“

Im Erwägungsgrund 68 der Verordnung wird ausgeführt, dass die „Verantwortlichen dazu aufgefordert werden [sollten], interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen“ und weiterhin, dass dieses Recht für den „Verantwortlichen nicht die Pflicht begründen [sollte], technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“. In ihren im Dezember 2016 erlassenen Leitlinien fordert die Art. 29-Datenschutzgruppe die verantwortlichen Stellen dazu auf, Methoden – z.B. Download-Tools und APIs - zu entwickeln, welche die Datenübertragbarkeit unterstützen. Das Recht auf Datenübertragbarkeit intendiere die Schaffung interoperabler, jedoch nicht zwingend kompatibler Systeme. Eine Präzisierung zu dem Format für die übertragbaren Datensätze und welche Standards dabei verbindlich sein sollen, ist bislang nicht vorhanden.

Präsentation-PDF

Frederick Richter zum Thema auf dem IAPP Europe Data Protection Congress 2018

Download PDF